'Vleierij meest effectieve manier om informatie bij bedrijven los te krijgen'
Vleierij is de meest effectieve manier om informatie los te krijgen. Recruiters blijken vandaag de dag de eenvoudigste doelwitten voor social engineering-gebaseerde aanvallen.
Dit blijkt uit de uitkomsten van de Social Engineering Challenge van Sogeti die tijdens een hackersconferentie eind mei jl. in Amsterdam voor de tweede keer in Europa is georganiseerd. De resultaten zijn verzameld in een rapport. Receptionisten waren vorig jaar nog het meest eenvoudige doelwit. Het bewustzijn onder receptiemedewerkers is gegroeid in vergelijking met de Social Engineering resultaten van 2012. Recruiters zijn dit jaar het makkelijkste doelwit.
Financiële dienstverleners presteren slecht
Financiële dienstverleners blijken eveneens slecht in staat social engineering-aanvallen te herkennen en af te slaan. De meest verkregen informatie is het type software dat in een organisatie wordt gebruikt. Ruim de helft van de aangesproken organisaties gaf informatie prijs over de gebruikte software. Vooral het geven bij complimenten bleek een goede tactiek om deze informatie te verkrijgen. Dit helpt om een gesprek open te breken daar waar dat in eerste instantie moeizaam verloopt. Ook het bewust maken van een vergissing of het laten vallen van stiltes blijkt effectief te zijn.
“Door wat vernuft zijn hackers in staat achterhaalde ogenschijnlijk onschuldige informatie in te zetten om bijvoorbeeld de volledige regie van het bedrijfsnetwerk over te nemen. Dit is het tweede achtereenvolgende jaar dat we ‘het beveiligen van de rol van de mens’ op de kaart zetten. Het doet ons genoegen dat organisaties zich voor het eerst spontaan aanmeldden om zich te laten ‘Social Engineeren’. Ook blijkt dat medewerkers van organisaties zich meer bewust zijn van dit fenomeen. Tegelijkertijd moeten we constateren dat Top 500 organisaties in ons land nog altijd vrij eenvoudig informatie weggeven”, zegt Marinus Kuivenhoven, Senior Security Expert van Sogeti.
Bewuster maken van kwetsbaarheden in menselijk gedrag
Het doel van de Sogeti Social Engineering Challenge is organisaties bewuster maken van de kwetsbaarheden in het menselijk gedrag van hun medewerkers. De Sogeti Social Engineering Challenge is zo opgezet dat deze binnen de kaders van de wet valt. Het doel is dan ook niet organisaties lastig te vallen of in een kwaad daglicht te zetten, maar juist een beeld te krijgen van de effectiviteit van Social Engineering aanvallen. Deze kennis wordt gedeeld met organisaties.
Nadat deelnemers zich hadden geregistreerd, kregen ze een zelf aangemelde Top 500-organisatie uit ons land toegewezen. Deelnemers is vervolgens gevraagd bedrijfsinformatie uit publieke bronnen op te halen. Het was niet toegestaan actief contact te zoeken met desbetreffende organisaties. Deze informatie gebruiken hackers om een goede ‘pretext’ te vormen. Een pretext is een geloofwaardig scenario om een effectieve aanval te doen. De meest gebruikte zoekmethode voor deze ‘pretext’ was Google, met 52% gevolgd door Monsterboard en bedrijfswebsites. Social media zijn opvallend weinig ingezet. Social Engineering is uiteindelijk toegepast op 25 organisaties uit de Top 500 van ons land.
